Kimwolf botnets
Kiberdrošības eksperti ir atklājuši milzīgu izkliedēto pakalpojuma atteikuma (DDoS) botnetu, kas pazīstams kā Kimwolf un kurā jau ir inficētas vairāk nekā 1,8 miljoni ierīču. Starp tām ir Android televizori, televizora pierīces un planšetdatori. Sākotnējās izmeklēšanas liecina par iespējamu saistību ar bēdīgi slaveno AISURU botnetu. Atklājums uzsver lietu internetam (IoT) vērstas ļaunprogrammatūras pieaugošo sarežģītību un uzsver kritisko nepieciešamību ievērot modrību savienoto ierīču aizsardzībā.
Satura rādītājs
Kimvolfa anatomija
Kimwolf ir veidots, izmantojot Native Development Kit (NDK), un apvieno vairākas iespējas, kas pārsniedz tradicionālos DDoS uzbrukumus. Galvenās funkcijas ietver:
- Starpniekservera pārsūtīšana
- Apgrieztā piekļuve apvalkam
- Failu pārvaldības funkcijas
Botneta ļaunprogrammatūra ir izstrādāta, lai katrā ierīcē palaistu vienu procesu, atšifrētu iegultos komandu un vadības (C2) domēnus, atrisinātu C2 IP adresi, izmantojot DNS virs TLS, un izpildītu no tā operatoriem saņemtās komandas.
Rekordliels mērogs un aktivitāte
Tikai trīs dienu laikā, no 2025. gada 19. līdz 22. novembrim, Kimwolf, kā ziņots, izdeva 1,7 miljardus DDoS uzbrukuma komandu. Viens no tā C2 domēniem, 14emeliaterracewestroxburyma02132[.]su, pat īslaicīgi parādījās Cloudflare 100 labāko domēnu sarakstā, uz laiku apsteidzot Google.
Galvenie infekcijas mērķi ir dzīvojamo māju televizoru pierīces, piemēram:
- TV kaste, SuperBOX, HiDPTAndroid
- P200, X96Q, XBOX, SmartTV, MX10
Ģeogrāfiski infekcijas ir koncentrētas Brazīlijā, Indijā, ASV, Argentīnā, Dienvidāfrikā un Filipīnās, lai gan precīza izplatīšanās metode joprojām nav skaidra.
Evolūcija un izturība
Kimwolf demonstrē izcilas pielāgošanās spējas. Tā C2 domēni 2025. gada decembrī tika noņemti vismaz trīs reizes, mudinot operatorus ieviest Ethereum Name Service (ENS) domēnus, lai stiprinātu infrastruktūru. Jaunākās ļaunprogrammatūras versijās ir iekļauta EtherHiding — tehnika, kas, izmantojot viedos līgumus, iegūst faktisko C2 IP adresi un pārveido to, izmantojot XOR darbības, tādējādi ievērojami apgrūtinot domēnu noņemšanu.
Savienojums ar AISURU un koplietoto infrastruktūru
Pierādījumi saista Kimvolfu ar AISURU botnetu, kas pazīstams ar rekordlieliem DDoS uzbrukumiem:
- Abi botneti pastāvēja līdzās vienās un tajās pašās inficētajās ierīcēs laikā no 2025. gada septembra līdz novembrim.
- Līdzības APK pakotnēs un koda parakstīšanas sertifikātos (“John Dinglebert Dinglenut VIII VanSack Smith”) liecina par kopīgu izstrādes izcelsmi.
- Lejupielādes serveris (93.95.112[.]59) apstiprināja skriptu klātbūtni, kas atsaucas gan uz Kimwolf, gan AISURU APK failiem.
Šīs attiecības norāda uz vienu hakeru grupu, kas potenciāli pārvalda abus botnetus, lai maksimāli palielinātu sasniedzamību un izvairītos no atklāšanas.
Uzbrukuma iespējas un monetizācija
Kimwolf atbalsta 13 dažādas DDoS metodes, izmantojot UDP, TCP un ICMP, mērķējot uz tādām valstīm kā ASV, Ķīna, Francija, Vācija un Kanāda. Interesanti, ka vairāk nekā 96% izdoto komandu ir vērstas uz inficētu mezglu izmantošanu kā starpniekservera pakalpojumus, kas norāda uz spēcīgu peļņas gūšanas motīvu.
Papildu komponenti, kas tiek izvietoti apdraudētās ierīcēs, ietver:
- Uz Rust bāzes veidots komandu klients — izveido starpniekservera tīklu
- ByteConnect SDK — monetizē lietu interneta (IoT) trafiku izstrādātājiem un ierīču īpašniekiem
- TLS šifrēšana aizsargā visu saziņu, savukārt sensitīvi dati par C2 serveriem un DNS atrisinātājiem arī tiek šifrēti, palielinot darbības slepenību.
Plašāks milzu botnetu konteksts
Kopš Mirai parādīšanās 2016. gadā milzīgie lietu interneta botneti ir ievērojami attīstījušies. Agrīnās versijas galvenokārt bija vērstas pret platjoslas maršrutētājiem un kamerām, taču mūsdienu botneti, piemēram, Badbox, Bigpanzi, Vo1d un Kimwolf, arvien vairāk koncentrējas uz viedtelevizoriem un televizoru dekodētājiem, atspoguļojot uzbrucēju intereses maiņu par labu plaša joslas platuma patērētāju ierīcēm.
